Khoản tiền chuộc ransomware 20 triệu USD của Weil Gotshal: Rủi ro đối với các công ty luật

Khoản tiền chuộc ransomware 20 triệu USD của Weil Gotshal: Rủi ro đối với các công ty luật

Một trong những hãng luật danh tiếng nhất thế giới được cho là đã trao khoản tiền từ 18 đến 20 triệu USD cho một nhóm tống tiền mạng sau khi tin tặc đánh cắp các tài liệu khách hàng bảo mật. Weil, Gotshal & Manges xác nhận đã ứng phó với một sự cố bảo mật liên quan đến truy cập trái phép vào một số lượng hạn chế các tệp tin, nhưng từ chối tiết lộ chi tiết mức độ thiệt hại. Khoản tiền được báo cáo khiến vụ việc trở thành một trong những thương vụ dàn xếp ransomware lớn nhất được biết đến trong ngành luật, đồng thời gửi đi một thông điệp rõ ràng về bảo vệ dữ liệu trước ransomware cho các công ty luật: không tổ chức nào là quá danh giá, hay quá dồi dào nguồn lực, để không bị nhắm đến.

Điều gì đã xảy ra trong vụ xâm phạm dữ liệu tại Weil Gotshal

Theo các báo cáo, một nhóm tống tiền mạng đã giành được quyền truy cập vào các tệp tin khách hàng mà Weil, Gotshal & Manges đang lưu giữ và đe dọa sẽ công khai phát tán các tài liệu bị đánh cắp trừ khi trả tiền chuộc. Hãng luật này được cho là đã tuân thủ, chi trả khoản tiền nằm trong khoảng từ 18 đến 20 triệu USD để ngăn chặn việc tiết lộ. Weil xác nhận sự việc trong một tuyên bố công khai giới hạn, thừa nhận có truy cập trái phép vào các tệp tin nhưng không xác nhận con số tiền chuộc.

Hãng luật này phục vụ một số tập đoàn, quỹ đầu tư tư nhân và tổ chức tài chính lớn nhất thế giới. Loại tài liệu mà một hãng như Weil có thể nắm giữ, bao gồm các thỏa thuận sáp nhập, chiến lược tranh tụng, hồ sơ pháp lý và công bố tài chính, chính xác là loại tài sản có mức giá cao trên thị trường tống tiền. Những kẻ tấn công rất có thể đã hiểu rõ lợi thế đòn bẩy mà chúng nắm giữ.

Vì sao các công ty luật là mục tiêu ransomware hàng đầu

Các công ty luật chiếm giữ một vị trí dễ bị tổn thương đặc biệt trong nền kinh tế dữ liệu. Họ tập hợp những thông tin cực kỳ nhạy cảm thay mặt cho khách hàng – những khách hàng vốn có các đội ngũ và quy trình bảo mật riêng, nhưng dữ liệu đó lại nằm bên trong hạ tầng của chính công ty luật, nơi có thể không được đáp ứng tiêu chuẩn tương đương. Một vụ xâm nhập thành công duy nhất có thể làm lộ dữ liệu của hàng chục khách hàng cùng lúc.

Bên cạnh khối lượng tài liệu nhạy cảm, các công ty luật còn đối mặt với những thách thức mang tính cấu trúc. Họ sử dụng một lượng lớn cộng sự và luật sư làm việc trên nhiều thiết bị, thường xuyên từ xa, và liên tục trao đổi tệp tin với các bên bên ngoài như tòa án, cơ quan quản lý, đồng luật sư và khách hàng. Mỗi một điểm tiếp xúc đó đều là một vectơ xâm nhập tiềm năng cho kẻ tấn công.

Còn một tính toán về danh tiếng khiến các công ty luật có nhiều khả năng trả tiền chuộc hơn. Toàn bộ giá trị cốt lõi của một hãng luật được xây dựng trên tính bảo mật và lòng tin của khách hàng. Mối đe dọa về việc các thông tin trao đổi đặc quyền bị công khai không chỉ đơn thuần là một vụ vi phạm dữ liệu, mà còn là một rủi ro kinh doanh mang tính hiện hữu. Các nhóm tống tiền mạng hiểu rõ điều này và định giá yêu cầu của chúng tương ứng.

Nơi hàng rào bảo mật sụp đổ: rủi ro từ truy cập tệp tin, truyền tệp và làm việc từ xa

Dù các chi tiết kỹ thuật cụ thể của vụ xâm phạm Weil chưa được công khai, bề mặt tấn công chung đối với các công ty luật thì đã được hiểu rõ. Truyền tệp tin không mã hóa, kiểm soát truy cập yếu trên các hệ thống quản lý tài liệu và các điểm truy cập từ xa không được bảo vệ đầy đủ nằm trong số những điểm yếu bị khai thác phổ biến nhất.

Làm việc từ xa đã khuếch đại những rủi ro này một cách đáng kể. Khi luật sư và nhân viên truy cập hệ thống nội bộ từ mạng gia đình hoặc Wi-Fi công cộng, thiếu các kết nối được VPN bảo mật hoặc bảo vệ điểm cuối, họ tạo ra những lối dẫn mà kẻ tấn công có thể khai thác. Hành vi đánh cắp thông tin đăng nhập qua lừa đảo (phishing) vẫn là một trong những điểm xâm nhập đáng tin cậy nhất, đặc biệt tại những hãng luật nơi đào tạo nhận thức an ninh chưa đồng nhất.

Chia sẻ tệp tin là một lỗ hổng kinh niên khác. Nhiều hãng vẫn phụ thuộc vào tệp đính kèm email hoặc các hệ thống truyền tệp kế thừa thiếu mã hóa đầu cuối. Khi những giao tiếp đó bị chặn, kẻ tấn công không chỉ giành được quyền truy cập vào chính các tệp tin mà còn vào cả siêu dữ liệu, thứ tiết lộ các mối quan hệ khách hàng, tiến trình thương vụ và các ưu tiên chiến lược.

Vụ việc của Weil không phải là cá biệt. Những động lực tương tự đã diễn ra trong vụ tấn công ransomware Play vào Ampex Data Systems, nơi các hồ sơ cá nhân nhạy cảm bao gồm số An sinh Xã hội và dữ liệu ngân hàng bị phát lộ, cho thấy các tệp tin bị đánh cắp gây ra tổn hại lan rộng vượt xa sự kiện xâm phạm ban đầu.

Phòng thủ nhiều lớp có thể ngăn chặn khoản tiền tống tiền chín con số

Thuật ngữ "phòng thủ nhiều lớp" được nhắc đến thường xuyên, nhưng trong bối cảnh bảo vệ dữ liệu trước ransomware cho các công ty luật, nó mang ý nghĩa thực tiễn rõ ràng. Không có một biện pháp kiểm soát đơn lẻ nào có thể ngăn chặn hoàn toàn một vụ xâm phạm, nhưng nhiều biện pháp chồng lớp lên nhau sẽ giảm thiểu đáng kể cả khả năng bị xâm nhập lẫn mức độ nghiêm trọng của hậu quả.

Kiểm soát truy cập là nền tảng. Áp dụng mô hình đặc quyền tối thiểu, trong đó người dùng chỉ có thể truy cập các tệp tin và hệ thống họ cần cho vai trò cụ thể của mình, giới hạn lượng dữ liệu mà kẻ tấn công có thể chạm tới ngay cả khi đã có được thông tin xác thực hợp lệ. Xác thực đa yếu tố trên tất cả các điểm truy cập từ xa không còn là tùy chọn; nó là kỳ vọng cơ bản.

Truyền tệp tin được mã hóa nên là thông lệ tiêu chuẩn cho bất kỳ tài liệu nào trao đổi với các bên bên ngoài. Điều này áp dụng cho liên lạc với khách hàng, hồ sơ gửi tòa án cũng như cộng tác với đồng luật sư. Khi các tệp tin được mã hóa trên đường truyền và khi lưu trữ, dữ liệu bị chặn sẽ trở nên ít hữu dụng hơn nhiều đối với kẻ tấn công.

Truy cập từ xa được bảo vệ bằng VPN bổ sung một lớp quan trọng khác, đảm bảo rằng các luật sư và nhân viên kết nối từ bên ngoài văn phòng sẽ thực hiện thông qua một đường hầm mã hóa thay vì phơi bày trực tiếp các hệ thống của hãng ra internet công cộng. Kết hợp với các công cụ phát hiện điểm cuối có thể nhận diện các mẫu truy cập bất thường, những biện pháp kiểm soát này tạo ra ma sát đủ để ngăn cản và thường là đánh bại các cuộc tấn công cơ hội.

Các bản sao lưu thường xuyên và đã được kiểm tra vẫn là một trong những biện pháp đối phó hiệu quả nhất đối với riêng ransomware. Khi có sẵn các bản sao lưu sạch và mới, lợi thế đòn bẩy của kẻ tấn công bị suy giảm đáng kể. Tuy nhiên, sao lưu không tự nó giải quyết được mối đe dọa công bố dữ liệu, đó là lý do vì sao ngăn chặn truy cập trái phép ngay từ đầu vẫn là ưu tiên hàng đầu.

Điều này có ý nghĩa gì với bạn

Nếu bạn đang làm việc tại, hoặc cùng với, một công ty luật hay bất kỳ tổ chức nào xử lý dữ liệu khách hàng nhạy cảm, vụ xâm phạm của Weil là một lời thúc giục để rà soát tư thế an ninh hiện tại của bạn. Hãy kiểm tra xem liệu truy cập từ xa vào các hệ thống tài liệu có yêu cầu xác thực đa yếu tố hay không. Xác nhận rằng các giao dịch truyền tệp đến khách hàng và các bên bên ngoài sử dụng kênh mã hóa. Rà soát ai có quyền truy cập vào các tệp tin vụ việc nhạy cảm và liệu quyền truy cập đó có được giới hạn phù hợp hay không.

Thiệt hại từ một vụ xâm phạm hiếm khi dừng lại ở sự cố ban đầu. Như được minh họa bởi các trường hợp như vụ tấn công ransomware vào Ampex Data Systems, các hồ sơ bị phát lộ tạo ra trách nhiệm pháp lý dây chuyền, sự soi xét từ các cơ quan quản lý và tổn hại danh tiếng lâu dài, có thể vượt xa chi phí của khoản tiền chuộc ban đầu.

Con số tiền chuộc 20 triệu USD được báo cáo là một dòng tít giật gân, nhưng con số quan trọng hơn là chi phí cho các biện pháp phòng ngừa. Kiểm soát truy cập mạnh mẽ, truyền tệp mã hóa và truy cập từ xa được bảo mật đều có sẵn cho các tổ chức ở mọi quy mô. Triển khai chúng ngay bây giờ tiết kiệm hơn đáng kể so với việc thương lượng với một nhóm tống tiền sau này.